Varje AD-domän har ett associerat KRBTGT-konto för att kryptera och signera alla Kerberos-biljetter för domänen. KRBTGT-kontot bör förbli inaktiverat.
Hur ofta bör du återställa Krbtgt?
Återställ lösenordet för krbtgt-kontot minst var 180:e dag. Lösenordet måste ändras två gånger för att effektivt ta bort lösenordshistoriken. Att ändra en gång, vänta på att replikeringen ska slutföras och ändra igen minskar risken för problem.
Vad är Krbtgt-domän?
KRBTGT-kontot är ett standarddomänkonto som fungerar som ett tjänstekonto för nyckeldistributionscentret (KDC)-tjänsten. Det här kontot kan inte tas bort, kontonamnet kan inte ändras och det kan inte aktiveras i Active Directory.
Vad används Krbtgt till?
KRBTGT-kontot används för att kryptera och signera alla Kerberos-biljetter inom en domän, och domänkontrollanter använder kontolösenordet för att dekryptera Kerberos-biljetter för validering. Detta kontolösenord ändras aldrig, och kontonamnet är detsamma på alla domäner, så det är ett välkänt mål för angripare.
Varför ändras lösenords-hash för Krbtgt-kontot under en funktionsnivåuppgradering från Windows 2003 till Windows 2008?
KRBTGT-lösenords-hash som vanligtvis aldrig har ändrats (annat än när domänens funktionsnivå höjdes från 2003 till 2008/2008R2/2012/2012R2). … Detta beror troligen på att KRBTGT-lösenordet ändras somdel av DFL-uppdateringen till 2008 för att stödja Kerberos AES-kryptering, så den har testats.